Перейти к содержанию

Вирус шифровальщик, помогите расшифровать файлы. Расширение WwaNPUAD5F4uG5ySBCut6Zug6ICEkhGSUcX_eK8Nlk

Gulzat
 Поделиться

Рекомендуемые сообщения

Gulzat

Gulzat

Опубликовано
Опубликовано

Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо.

Addition.txt FRST.txt virus.7z

safety

safety

Опубликовано
Опубликовано

Скорее всего запуск шифровальщика был на другом устройстве. На данном устройстве нет следов запуска, кроме зашифрованных файлов  на общем ресурсе.

 

Проверяйте на другим ПК, где мог быть запуск шифровальщика.  В папке c:\temp должен быть файл session.tmp

Логи FRST нужны с устройства, где был запуск шифровальщика.

Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано

Благодарю за ответ. 
Мог ли удалиться лог запуска из за чистки пк kaspersky removal tool?

и еще антивирус defender встроенный виндоус нашел три угрозы

safety

safety

Опубликовано
Опубликовано (изменено)

если систему чистили в KVRT добавьте папку reports в архиве без пароля. Эта папка должна быть  в каталоге

C:\KVRT2020_DATA

2025-09-12 22:31 - 2025-09-12 22:31 - 000000000 ____D C:\KVRT2020_Data

 

То что было найдено в Windef не связано с шифровальщиком.

 

И это проверьте:

Цитата

В папке c:\temp должен быть файл session.tmp

врядли антивирусы будут реагировать на этот файл. А он является индикатором запуска шифровальщика в системе.

Изменено пользователем safety
Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано
В 13.09.2025 в 05:16, safety сказал:

Логи FRST нужны с устройства, где был запуск шифровальщика.

Файлы загрузили 

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логам на этом устройстве не было запуска шифровальщиков. Нет зашифрованных файлов.

Проверяйте на другим ПК, где мог быть запуск шифровальщика.  В папке c:\temp должен быть файл session.tmp

Изменено пользователем safety
  • 3 недели спустя...
Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано

Здравствуйте! Прикрепляю файлы с зараженного компьютера, где был запущен шифровальщик. Файл session.tmp присутствует.

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо. проверю сейчас логи, напишу скрипт очистки.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
CHR Extension: (Нет имени) - C:\Users\root\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-03-21] [UpdateUrl:0] <==== ВНИМАНИЕ
S2 RustDesk; "C:\Program Files\RustDesk\RustDesk.exe" --service [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S0 oem-drv64; system32\DRIVERS\oem-drv64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2025-09-11 23:47 - 2025-09-12 15:29 - 000000980 _____ C:\How-to-decrypt.txt
2025-09-11 23:47 - 2025-09-12 15:07 - 000000000 ____D C:\temp
2025-09-11 23:46 - 2025-09-11 23:46 - 000000000 ____D C:\Users\ures681\AppData\Roaming\Process Hacker 2
2025-09-11 23:41 - 2025-09-12 00:00 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-09-11 23:41 - 2025-09-11 23:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-09-11 13:54 - 2025-09-11 13:54 - 000000430 _____ C:\Windows\system32\u1.bat
2025-09-12 15:29 - 2023-12-19 13:58 - 000000000 __SHD C:\Users\ures681\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD
2025-09-12 15:28 - 2022-10-01 19:00 - 000000000 __SHD C:\Users\root\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день, при первом запуске FRST64 скопировал скрипт в буфер обмена, но не вставил в окно FRST64.exe, это файл Fixlog1.txt, компьютер перезагрузился, Запустил FRST64.exe еще раз, вставил в него скрипт, нажал исправить, это файл Fixlog2.txt, после этого заархивировал папку Quarantine с паролем virus. спасибо.
ссылка на Quarantine архив загружен ссылка удалена.
Fixlog1.txtFixlog2.txt

Изменено пользователем safety
архив загружен ссылка удалена.
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логам очистка успешно произошла при первом запуске FRST64. Достаточно было просто скопировать скрипт в буфер обмена. FRST для выполнения скрипта извлекает его из буфера.

+

проверьте ЛС.

Изменено пользователем safety
  • 2 недели спустя...
Gulzat

Gulzat

Опубликовано
  • Автор
Опубликовано
В 01.10.2025 в 12:58, safety сказал:

Судя по логам очистка успешно произошла при первом запуске FRST64. Достаточно было просто скопировать скрипт в буфер обмена. FRST для выполнения скрипта извлекает его из буфера.

+

проверьте ЛС.

в ЛС отправили данные

safety

safety

Опубликовано
Опубликовано

С расшифровкой файлов не сможем помочь без приватного ключа.

 

Как избежать ситуаций с шифрованием:

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexeich
      Поймали шифровальщик Mimic/N3ww4v3
      Автор alexeich
      Помогите, аналогичная ситуация
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      FRST.txtAddition.txt
      MIMIC_LOG.txt
    • Steelot
      Шифровальщик mimic
      Автор Steelot
      Поймали шифровальщик mimic закриптовались базы 1с даже в архиве, есть ли хоть какой то шанс что то восстановить?
      FRST.txt
    • олег тод
      Данные зашифрованы UVE. Просят деньги за расшифровку. Прошу помощи
      Автор олег тод
      В ночь с 08 на 09 октября на компьютере с операционной системой Windows 10 все файлы были зашифрованы.
      При открытии любого из них, открывается "Decrypt_UVE - Блокнот" с текстом:
      "Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is ****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Подскажите, пожалуйста, возможно ли расшифровать файлы?
      И как купировать заразу на своих компьютерах
      shifrovka.7z cureit.log FRST.txt
    • sashakrug
      Шифровальщик zimmer 1488
      Автор sashakrug
      Здравствуйте!
      ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?
    • tr3ton51
      Шифровальщик поработал над компьютером бухгалтера
      Автор tr3ton51
      Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****gk*WWWWW-***gk
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - victor_ia@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      возможно ли спасти данные? прикрепил зашифрованные картинки
      How-to-decrypt.txt картинки.zip
×
×
  • Создать...